蔡一郎的部落格

Yilang's Blogger

Botnets and Trends of Advanced Persistent Threats

Published by Yi-Lang Tsai under , on 4/26/2012 11:30:00 下午

In the development of information security, cyber attacks have become much more organized and refined. Elaborately planned cyber attacks have taken the place of large-scale attacks, and using malicious software to infect victims' computers is the most common method of carrying out cyber attacks.

Botnets are currently the most severe information security threat, and advanced persistent threat (APT) is the most popular information security issue. During targeted attacks, hackers usually steal information or launch large-scale attacks using Botnets. Once the targets are chosen, hackers carry out long-term and persistent attacks using various methods. Many hacked computers unconsciously participate in attacks launched by hackers. Malicious software used by Botnets is often customized based on weaknesses in the targeted computers. These “special” purpose malicious programs are extremely hard to detect in their latent or infected phase. Unless the behavior and patterns of such malicious programs are known in advance, it is hard to detect them using signature comparisons. Also, once a system is infected, it is difficult for anti-virus software to detect and remove the malicious programs due to their rapid mutation.

(Fig. Botnet Infection Map)

In order to penetrate the firewall defenses, most Botnets use protocols and ports allowed by the firewalls. This approach has changed the conventional information security defense mechanism. In the past, the internal networks were seen as relatively high security networks and external networks were seen as relatively low security ones. Default settings of access control allow computers in higher security networks to link to lower security networks, so that infected computers have free access through information security defenses such as firewalls. This is one of the reasons that Botnets are able to spread on such a large scale.

Commonly used Botnet protocols include http, ftp, tftp, and irc; all of which are widely used by applications. When Botnets use these protocols to communicate, they often go undetected by the webmaster or Botnet-infected systems, especially when the Botnet is in its latent phase and only maintains minimum communication with the intermediate node or the hacker’s control platform(C&C, Command and Control). This communication behavior cannot be effectively controlled using conventional network activity statistics.

The main difference between Botnets and computer viruses, Trojan horses, and Internet worms, is that Botnets not only affect computer systems, but also achieve more effective management through intermediate nodes or central control stations. Infected bots (i.e. infected computers) actively link to these intermediate nodes or central control stations and wait for commands. Once they receive a command to attack, bots are able to launch malicious attacks very quickly. This is different from conventional attacks in which the attacker must send commands individually to the hacked computers located in different areas. Botnets can not only achieve more efficient management of infection, but also launch targeted attacks within a relatively short period of time.

Currently, most underground economic activities are conducted in coordination with Botnets (e.g. stealing personal information, stealing website accounts and passwords, capturing keyboard input using screen loggers, or participating in malicious attacks using Botnets). The malware’s mutation tools used to spread its source codes are very difficult to detect. Additionally, the development of information convergence and digital economics, and the increase of cloud technologies and mobile commerce, also brings with it additional information security protection considerations. In a new environment that utilizes new technologies, mobile and broadband terminals, networks, services, application platforms, data centers, crime investigation, and national security will also face attacks by highly experienced hackers using malicious software.

In 2011, APT was extremely active. The APT is not a new type of attack, rather, it is a combination of several different attack methods in direct response to the targets’ environments. The entire attack process is divided into several stages including data collection and analysis, system and application weakness scanning, Rootkit use, and exploitation of Web Application security weaknesses. Victims of APT include information security equipment and service providers such as RSA Inc. and HBGary, Sony Entertainment Network, Citibank, Google, and VISA Inc.

In addition to the information security equipment and services being hacked, the leaking of client information has also become a major issue. Observing the trend of such attacks, hackers are not only stealing data from typical users’ PCs, but also gaining interests in important and representative targets and planning to launch long-term attacks as well. Through social engineering and web mining and detection, hackers customize their attack methods based on certain targets and these attacks often last several months to a year until their goals have been achieved. The attackers usually use or send network services or documents that seem normal to launch zero-day attacks, but they actually contain malicious programs. The attackers also target unannounced system and application weaknesses, so that the victims are not able to detect the attacks. When Botnets combine with APT, attackers can effectively utilize an immense Botnet to carry out multiple types of attacks simultaneously and use multiple channels to implant malicious software.

We live in a continuously evolving computing and networking environment wherein new applications that have the potential to be hacked are constantly being introduced. New risks are often generated by these new applications. The only way to improve information security is to know the latest developments in information security, understand common attack methods and ways to protect our systems and applications against them, and avoid exposing our systems to unsafe environments in the first place.

殭屍網路(Botnet)與進階持續性滲透攻擊(APT)趨勢

Published by Yi-Lang Tsai under , on 4/25/2012 12:41:00 上午
資訊安全的發展歷程中,網路攻擊的手法目前已朝向組織化、精緻化發展,大規模的攻擊行為已不多見,取而代之的是經過精心設計的網路攻擊,其中利用各種惡意程式感染受害者為當下最常見的手法之一,殭屍網路是目前最嚴重的資訊安全威脅之一,而進階持續性滲透攻擊(APT, Advanced Persistent Threat)具是近來最熱門的資安議題,針對性的攻擊行動中,常常可以見到透過殭屍網路進行資訊的竊取或是大規模的攻擊活動,當攻擊者選定攻擊的對象或目標後,將會採用多種不同的攻擊手法,針對特定目標進行長期且持續性的攻擊活動,不擇手段以達成攻擊的目的,許多的受駭的電腦在不自覺的情況下,參與了駭客所發起的攻擊行動,而殭屍網路所使用的惡意程式,大多針對該目標被發掘的弱點進行客製化的開發,此「特殊」用途的惡意程式,在潛伏與感染的階段很難被發現,除非掌握其行為模式,否則也不容易由特徵比對的方式進行偵測,變種速度快,系統一旦感染,防毒軟體不易偵測與清除。
殭屍電腦為了能夠穿透防火牆等資訊安全設備的防禦,大多採用一些在防火牆上允許通過的協定與通訊埠,也改變了傳統的資訊安全防護機制,以往大多將內部的網路視為安全等級較高的區域,而外部的網路具是安全等級較低的區域,在存取的管制上,較高安全等級的區域預設就能夠連線到較低安全等級的區域,因此許多受到惡意程式感染的殭屍電腦,能夠自由的進出防火牆等資安設備,而不會受到阻擋,這也是造成殭屍網路大規模擴散與感染大量電腦主機的原因之一。目前殭屍網路經常使用的通訊協定,包括http、ftp、tftp、irc等,而這些通訊協定廣泛的使用在許多的應用程式上,因此當殭屍網路透過這些常見的通訊協定進行通訊時,網管單位或是遭到惡意程式感染的系統,往往很難察覺這些通訊行為的存在,尤當殭屍網路仍在潛伏期,除了與中繼站或是駭客的控制平台保持微量的通訊外,在傳統網路流量的統計方式上,並無法有效的掌握這些微量的通訊行為。
(圖)Botnet每週感染分佈圖

殭屍網路與傳統電腦病毒、木馬程式或是網路蠕蟲最大的差別在於前者除了對於我們的系統造成影響之外,也配合中繼站或是中央控制站角色,提供了殭屍網路更有效的管理方式,受害的殭屍電腦主動的與這些中繼站或中央控制站進行連線,並且隨時等待來自攻擊者所下達的指令,一旦接獲攻擊的指令,能夠在最短的時間內依據指令的內容進行惡意的攻擊行動,改變傳統攻擊者必須自行下達指令在分散在各地的受駭主機的模式,除了更有效率的管理外,也能夠在較短的時間內進行針對式的攻擊活動。
目前地下經濟的活動,大多配合殭屍網路進行相關的非法活動,例如:個人機敏資料的竊取、網站帳號密碼、鍵盤或系統畫面的側錄等,或是參與殭屍網路所進行的惡意攻擊行為,這些造成資訊安全事件的主要原因,惡意程式的變形工具或是原始碼在網路上流傳,造成惡意程式偵測上的困難,資訊匯流及數位經濟的發展,資訊安全應用遍及各個領域,雲端應用技術及行動商務模式的興起,更讓資訊安全防護有更多的考量。在新環境、新技術的考驗,行動及寬頻終端、網路、服務、應用平台、資料中心、犯罪調查、國家安全各領域,亦需面對功力高深的駭客攻擊、惡意程式植入等相關挑戰。
2011年可稱得上是進階持續性滲透攻擊(APT)相當活躍的一年,多起資訊安全事件都與此種攻擊的手法有關,APT不是一種新的攻擊,而是同時採用多種不同類型的攻擊手法,使用多種不同類型的攻擊方式以因應攻擊目標的環境,整個攻擊的流程能夠分成多個不同的階段,包括資料的收集與分析、系統與應用程式弱點的掃瞄、Rootkit的使用、針對Web Application的安全弱點運用等,除了知名的RSA、HBGary等以資安設備或服務為主的公司皆遭到此類型的攻擊,後續衍生出其客戶的資安風險,或是因為所使用的資安設備或服務遭到破解造成的資訊安全事件,皆造成了不小的影響,這類型的攻擊同樣也發生在Sony的遊戲社群平台、花旗銀行、Google、VISA信用卡國際組織等,這些針對特定目標與目的所進行的多起攻擊事件仍時有所聞,由此攻擊趨勢觀察,駭客的攻擊對象,除了由一般使用者的電腦竊取資料之外,也對於重要且有指標性的目標逐漸感到興趣,且有長時間準備發動攻擊行為的規劃,透過社交工程、網路探勘與偵測等細緻的攻擊手法,針對特定的目標與目的,客製成為獨特的攻擊手法,以達到目的為最終的目標,未達成目的前決不輕言放棄,經常此類型的攻擊行為,常常長達數個月或一年以上。攻擊者經常使用或發送一些看似正常的網路服務或是文件,透過其中夾帶惡意程式發動零時差的攻擊行為,針對尚未發佈的系統與應用程式弱點進行攻擊,對於遭受到攻擊的目標,往往受駭者並不會察覺,當殭屍網路與持續進階滲透攻擊相互結合時,攻擊者能夠有效的運用龐大的殭屍網路做為幫手,針對該目標進行多類型的攻擊,利用多種管道將惡意程式植入到特定目標的系統中,以達成攻擊者的目的。
結合多種攻擊手法,運用殭屍網路進行資訊的收集或是攻擊的活動,目前我們正處在一個不斷演變的網路環境,每隔一段時間就有新的應用問世,對於資訊安全的趨勢分析上,往往會因為不同的應用而有新的風險產生,因此隨時掌握資訊安全的發展趨勢以及相關攻擊手法的演變,為當下相當重要的課題,唯有掌握最新的資訊安全趨勢,瞭解常見的攻擊手法以及對於自我本身系統或是應用程式的保護,避免風險的發生以及曝露在不安全的環境中,才能提升本身安全性的方式。

本文同步發佈於國家高速網路與計算中心 電子報

苗栗舒壓之旅

Published by Yi-Lang Tsai under , , on 4/15/2012 09:07:00 上午
壓力是需要找到釋放的方式與管道,公司的事到一個段落後,參加了老婆所安排的溫泉之旅,也跟著許多的夥伴一起出遊,在工作之餘也讓生活多點樂趣與視野,以前比較少的機會到苗栗旅遊,因為就趁著這個難得的機會,一同來這走走,此行入住泰安觀止溫泉會館,整體的感覺滿令人放鬆的,晚上到附近的山路上,就能夠看到螢火蟲,這個可是在都市中不可能見到的景像,來到這除了享受泡溫泉之外,也是讓自我身心靈沉澱的機會,不論在工作或是生活上,總有些煩心的事需要處理,每隔一段時間將自己放身在山野之中,除了可以釋放身體長久下來所累積的壓力之外,也能夠讓自己的思緒在心無旁念的環境,好好的思索一下工作的調整與人生的方向,一直累積在身體的壓力如果無法適當的管道釋放出來,身體在經年累月的壓力中,總是會生病的。

小朋友一到房間中,就愛上這個溫泉池了,追著著媽咪問說要住多久,他想要在這住一百天,在二天一夜的期間,還泡了三次,可見他熱愛的程度,這裏的溫泉泉質屬為鹼性碳酸泉,溫泉水溫大約47度,PH值為8,水質無色無臭,是相當受到民眾歡迎的溫泉泉池,泰安溫泉沐浴過後肌膚潤滑舒爽,是相當有名的美人湯,經親身體驗後,真的如此,皮膚變得相當滑潤。

這次到洗水坑老街,算是行程外的行程,怎麼說呢?因為此次雖然是團體出遊,筆者又因為公務有半天無法同行,所以老婆就先帶著小朋友出發,等事情忙完再開著車到住宿的地方會合,而隔天才有這樣的機會,能夠自行到這走走,這條老街因為觀光的風氣而興起,聽當地人說附近已開始修築登山步道,將來應該會有更多的遊客到訪,不過因為是非假日來這,許多的店家並沒有開張,不過此行主要想吃的豆腐料理還是如願的嘗到了,喜歡熱鬧的朋又,就一定得在週末來這,如果想要放鬆身心享受不一樣的寧靜,則可以選擇平日來這,都有不同的感受。

由當天現採的桂竹筍所煮成的筍子湯相當的美味,實在是物超所值,原本想要買些回家自己料理的,不過賣竹筍的沒來,只好等下次有機會再來買了。

「黑皮臭豆腐」應該是很多人到洗水坑會來享用的特色料理,可以選擇傳統口味(金黃色)或是經中藥處理過的口味(黑色),當然也可以選擇綜合口味的,就可以一併品嘗兩種不同口味的臭豆腐,豆腐中間用蒜泥提味,不禁令人回想起小時候的回憶。

棗莊外面的七矮人,歡迎著每一位來訪的食客、遊客,美食加美景實在是相當愉快的,在繁忙的工作的之隱,讓自我的身心靈又一次洗滌,舒緩了多日的工作壓力,

豐盛的料理,實在是讓大家意猶未盡,一道又一道的美味接連上桌,因為每一道都滿好吃的,幾乎十幾道菜都被大家嗑光,很難想像這一群從事健康產業的人,也能夠如此享受美食,主要是因為有良好的方法來照顧自己的身體,除了擁有了健康的身體,才能如此盡情享受。

在工作上最難得能夠擁有一群相同理念的人,此次與一群志同道合的夥伴一起出遊,實在是最令人相當快樂的,除了是工作上的夥伴,當然也都是生活上的遊伴。

回程的途中,特地到大甲鎮瀾宮參拜,不過小朋友已經累到睡著了,回想起上回來這,已經是二、三十年前的事了,當時是跟著外公來這進香,不小心透露了自己的年紀。


以下為三天二夜的行程紀錄:
台南---苗栗-泰安觀止溫泉會館

苗栗泰安觀止溫泉會館---洗水坑豆腐街

洗水坑豆腐街---棗莊古藝庭園膳坊

棗莊古藝庭園膳坊---大甲鎮瀾宮

大甲鎮瀾宮---彰化---高雄---台南
以下是行程相關的網站資訊供參考:
泰安觀止溫泉會館:http://www.papawaqa.com.tw/index.asp
大甲鎮瀾宮:http://www.dajiamazu.org.tw/




The Honeynet Project Annual Workshop 2012會議報導

Published by Yi-Lang Tsai under , , on 4/05/2012 12:19:00 上午
自從2008年11月加入The Honeynet Project這個國際資安組織至今,負責台灣分會的運作已經三年多的時間,這段時間來投入了許多時間與精神在這個領域的研究與系統的部署,當然也辦了好幾次的教育訓練課程,此次前往美國舊金山參加今年的年度會議,地點就在Facebook Inc.的總部,目前全球已有44個分會,主要由各國的資安專家組成,平時大家都在自己的崗位上努力工作,業餘時間則投入跟誘捕技術與相關的資安技術研究,單純的以技術導向的方式,進行相關的合作。
自從去年巴黎年會的經驗,辦理了第一次的公開研討會之後反應很好,今年就延續這樣的模式,將一天的公開會議,延長成兩天的公開會議,第一天以研討會的方式辦理,第二天則回歸到技術交流為主,辦理了多個場次的Hands-On課程,例如:Malware Reverse Engineering、Hands on with the Honeywall and virtual honeypots、Android reverse malware forensics、CTF: Hacking for fun and profit、Information Visualization-Bridging the Gap Between Tufte and Firewalls、Cuckoo Sandbox: how deep the bird's nest goes以及Network analysis & forensics等,講師多由組織內的專家擔任,也希望能夠透過這樣的方式,推廣組織的研發能量與相關的成果。

前兩天的會議,大約有150人參加,主要是歐美地區的資安研究人員,亞洲地區的少了些,可能因為在美國舉辦的關係,除了亞洲分會的成員外,來參加這個公開會議的人並不多見,另外有一些參加Google Summer Code 2012計畫的學生共同參與這次的會議。

組織的成員會議為不公開的行程,僅限分會成員或受到邀請的人員才能夠參加,討論最新的資安趨勢與工具的發展狀況,另外有一些與組織未來運作的相關議程,也會在Close Meeting的三天進行討論與報告,在此就不多做介紹了,有機會在國內辦理的研討會,再與大家分享。

以下為各分會參與此次會議的成員合照.

參考資料:The Honeynet Project Website (www.honeynet.org)